Montowanie NFS3 przy użyciu Kerberos i AD

9

Mam serwer Linux (Centos 5.6), który musi automatycznie montować katalogi domowe z udziału NFS systemu Windows (Server 2008) przy użyciu protokołu Kerberos. Udział montuje się (z użytkownikiem i grupą nikt), jeśli uwierzytelnianie jest wyłączone. Jednak jeśli -o sec=krb5flaga zostanie przekazana, dostanę mount.nfs: permission denied.

Jako root kinitotrzymałem bilet i klistpowiedział mi, że jest to ważny bilet. Błąd w Google nie dawał wiele, ponieważ wydaje się, że jest to wszystko jedno. W żadnym z dzienników, w których zajrzałem, nie znaleziono nic użytecznego. Dostęp do katalogu głównego jest ustawiony na dozwolony dla udziału Windows.

Ze względu na udostępnianie z systemu Windows wiele zasobów mówiących o zmianie ustawień serwera nie stosuje się bezpośrednio.

Jakieś pomysły na to, żeby to zadziałało?

linux windows-server-2008 nfs Ethan
źródło
1
Czy jesteś pewien, że Windows może eksportować do NFS4? AFAIK potrzebujesz NFS4, aby korzystać z Kerberos.
wazoox
Przepraszamy, to NFS3. Windows - o ile mi wiadomo - obsługuje tylko NFS3. Jednak strona opcji dla NFS w systemie Windows wymienia KRB5 i KRB5i jako opcje, więc założyłem, że zadziałało.
Ethan,

Odpowiedzi:

1

Rzeczą, która mnie złapała - i wygląda na to, że masz problem - jest to, że root nie używa ... niczego, co dostajesz od kinit.

Korzysta z pliku /etc/krb5.keytab, z którym można wyświetlić listę klist -kt. W zależności od posiadanej wersji systemu operacyjnego potrzebuje ona nazwy głównej usługi HOST lub - w przypadku starszych wersji - nazwy głównej usługi nfs.

net ads joini net ads keytab createzrobi pierwszą część - tworzenie pliku kluczy hosta. W przypadku RHEL 5 jestem prawie pewien, że musisz utworzyć Principal usługi nfs na swoim kliencie, aby umożliwić mu dostęp do zasobu NFS. Zakładam, że to samo dotyczy Centos 5.6, ale nie jestem w 100% pewien. Nie mogę dać ci instrukcji z góry mojej głowy - spojrzę i zobaczę, czy mogę znaleźć więcej szczegółów. (Zrobiłem to i na pewno działa w ten sposób na RHEL, ale już wystarczająco dawno temu, gdybym zacytował instrukcje, pomyliłbym się).

Możesz rozwiązać problem, odpalając rpc.gssd -f -vvv

Sobrique
źródło
0

OK, po kilku badaniach znalazłem ten artykuł, który wyjaśnia, jak osiągnąć to, czego szukasz za pomocą klienta Solaris. Patrząc na część tej innej dokumentacji dla klienta, może uda Ci się sprawić, żeby całość działała ...

Najwyraźniej z tego, co widziałem po rozglądaniu się, uwierzytelnianie NFS3 pod Linuksem wobec Kerberos powinno być możliwe, w przeciwieństwie do tego, co myślałem; jednak informacje są niewiarygodnie rzadkie.

W najgorszym przypadku, co uniemożliwia ci użycie CIFS? Po tym, jak jest dość dobrze obsługiwany, a dokumentacja jest obfita.

wazoox
źródło
1
Próbowaliśmy zmusić CIFS do działania i chociaż mogliśmy zmusić go do poprawnego zamontowania, nie byliśmy w stanie uzyskać modułu PAM niezbędnego do poświadczeń do pracy na CentOS 5. Będę mógł przetestować to jutro.
Ethan,
1
Zajrzał do tego i nie zobaczył niczego skonfigurowanego inaczej. Wygląda na to, że Windows źle się tu zachowuje i oczywiście nie mam dostępu do tego serwera. (Możemy obserwować, jak połączenie wchodzi do systemu Windows i nic z tym nie robi)
Ethan,
Hmm, słyszałem, że Usługi Unix czasem wymagają ponownego uruchomienia, być może warto spróbować ...
wazoox